XP Antivirus protection – come rimuovere questo virus


XP Ativirus protection è un falso antivirus, infatti è un malware che vi segnala finti virus e vi invita a clickare su clean infected (pulizia)

Ecco quindi come rimuoverlo:

  • Riavvia il sistema operativo in modalità  provvisoria.
  • Vai su Start –> Esegui –> digita “cmd” ed invio , per andare sulla console DOS .
  • Da prompt digitare , nell’ordine , questi due comandi : “regsvr32 /u shlwapi.dll” e “regsvr32 /u wininet.dll” ; Questo serve a rimuovere le librerie dll del falso antispyware .
  • Esegui il task manager (tasto destro sulla Barra di stato e nel menu che compare selezionare “Task Manager”) scegli il secondo cavaliere “Processi”.
  • Cerca e termina i due processi XPAntivirus.exe e XPAntivirusUpdate.exe . Eventualmente ripeti l’operazione : devi essere assolutamente sicuro che XPantivirus non sia più in esecuzione per poter continuare.

Una volta eseguite queste semplici operazione è possibile cancellare le dll, gli eseguibili ed i link al virus maledetto.

Non è detto che debbano esistere tutti i files.

shlwapi.dll
wininet.dll
XP antivirus
XP Antivirus 2008.lnk
XPAntivirus.lnk
XPAntivirus.exe
XPAntivirusUpdate.exe
XPAntivirus on the Web.lnk
XPAntivirus.url
Uninstall XP Antivirus 2008.lnk
Uninstall XPAntivirus.lnk

A questo punto resta da pulire il registro del sistema, esegui regedit, vai su HKEY_USERS\Software\ e cancella la voce XP antivirus.

Riavvia ed il pc è tornato come nuovo.

XP Antivirus protection – come rimuovere questo virus ultima modifica: 2008-05-08T14:57:43+00:00 da Enrico

42 Comments.

  1. vorrei eliminare XP Antivirus 2008 dal mio compiuter, non lo ho installato e cè un icona ne l area di servizio e quando navigo si aprono continuamente delle finestre del antivirus grazie.

  2. segui le istruzioni qui sopra e vedrai che si toglie

  3. Ciao raga,
    io seguendo la procedura non ho trovato nei processi da terminare quelli correlati ai seguenti: XPAntivirus.exe e XPAntivirusUpdate.exe

  4. deu certo pra min…
    faz tudo ke esta acima …

    si naum axar os dlls ou outros arquivos e so ir em execultar regedit e F3…

    vlw….

  5. shlwapi.dll
    wininet.dll
    XP antivirus
    XP Antivirus 2008.lnk
    XPAntivirus.lnk
    XPAntivirus.exe
    XPAntivirusUpdate.exe
    XPAntivirus on the Web.lnk
    XPAntivirus.url
    Uninstall XP Antivirus 2008.lnk
    Uninstall XPAntivirus.lnk

    nn riesco a cancellarli mi dice che sono protetti da scrittura!

  6. @Andrea, killbox lo conosci?
    è un utility che ti permette di cacnellare i file anche se sono in esecuzione e sono protetti:
    scaricalo da qui:
    http://www.killbox.net/
    è gratuito

  7. Attenzione, un nuovo tipo mi segnala questo processo:

    pphctc5j0e7dj.exe

    Comunque la guida è buona.

  8. Stefano Polidori

    grazie a Voi ho risolto il problema dell’ Antivirus Xp 2008..

    SIETE MAGICI………………….

  9. NON HO RISOLTO ……….

    COME POSSO FARE ???

  10. @stefano Pampulu pimpulu parimpampum!

    @magix69 ehm … un aiutino? cosa non è andato? consiglio di leggere anche questo:
    http://www.etechs.it/xp-antivirus-2008-rimozione-definitiva-e-ripristino-dei-tab-desktop-e-screen-saver/

  11. ciao ho fatto quasi tutto ma nn so come riavviare il notebook in modalità provvisoria per eliminare le .dll.come faccio ki m aiuta GRAZIE 1000

  12. @enzop modalità provvisoria: premere il tasto F8 all’avvio del computer (schermata nera) quando compare il menù di selezione selezionare modalità povvisoria.

    Se non sai quando premerlo, premilo più volte, subito dopo la schermata del bios

  13. graize enrico mo vedo un po

  14. ninte non ci riesco dp un po il virus ricompare…..cm faccio?

  15. uhhh
    questo è grave
    http://www.etechs.it/xp-antivirus-2008-rimozione-definitiva-e-ripristino-dei-tab-desktop-e-screen-saver/

    all’inizio del post c’è un free spyware scanner, clicka lì, scarica installa e pulisci
    :)

  16. excluir este antivirus

  17. Raga ho beccato anche io sto virus in ufficio.
    Dopo varie prove ho deciso di togliere l’hd, inserirlo in una slitta usb e collegarlo a casa; ho fatto una bella scansione con nod e ho pulito una marea di file infetti.
    Però rimangono i seguenti problemi, oltre ad alcune instabilità del s.o. (xp):
    – Non posso riavviare in modalità provvisoria;
    – Non posso aprire né il task manager né il regedit.
    Aiuto!

  18. Grazie enrico per la risposta super veloce.
    Comunque niente da fare in nessuno dei due casi: cliccando su enable regedit addirittura scarica un mp3 (enable-regedit.reg.mp3); naturalmente modifico l’estensione togliendo .mp3 ma comunque mi dice che l’editor è stato disabilitato dall’amministratore.
    Per quanto riguarda la soluzione del task l’avevo già provata, ed anche se metto su disabilita mi appare il solito messaggio che è stato disabilitato dall’amministratore.
    L’unico programma con cui sono riuscito a bloccare e cancellare i processi malefici è stato a-squared hijackfree.
    Però i problemi rimangono.

  19. sigh, grazie d3ella segnalazione dell’ MP3 ho sistemato con uno zip

    ho anche aggiornato il post, butta l’occhio e sappimi dire se ti va bene

  20. Controllando con questo a-squared hijackfree ci sono una marea di programmi (anche soliti di windows) che richiamano quelle due dll maledette che non posso deregistrare.
    Mi sono dimenticato di dire che un programma che mi permette di modificare il registro di sistema è Vilma Registry Explorer: ma se vado alla voce task manager e regedit e imposto il valore 0 (quindi abilitandoli) il virus maledetto li riporta subito a 1.
    ARGH!!!

  21. Niente Enrico, non funziona nemmeno con questo metodo.
    Domanda: ma se ste dll le cancello manualmente cosa succede?
    Poi controllando con Hijackthis ci sono stringhe che non mi convincono… posto il log:

    Logfile of HijackThis v1.99.1
    Scan saved at 18:25:28, on 08/08/08
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
    C:\Programmi\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\FreePOPs\freepopsd.exe
    C:\Programmi\iPod\bin\iPodService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\DOCUME~1\Utente\IMPOST~1\Temp\anpsvi.exe
    C:\DOCUME~1\Utente\IMPOST~1\Temp\dbxka.exe
    C:\Programmi\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Programmi\HiJackThis\HijackThis.exe

    R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 – BHO: AcroIEHlprObj Class – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 – BHO: XBTP06568 – {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} – C:\Programmi\AOL Security Toolbar\tbu28\AOL_security_toolbar.dll
    O2 – BHO: Spybot-S&D IE Protection – {53707962-6F74-2D53-2644-206D7942484F} – C:\Programmi\Spybot – Search & Destroy\SDHelper.dll
    O2 – BHO: SSVHelper Class – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
    O2 – BHO: (no name) – {7E853D72-626A-48EC-A868-BA8D5E23E045} – (no file)
    O3 – Toolbar: AOL Security Toolbar – {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} – C:\Programmi\AOL Security Toolbar\tbu28\AOL_security_toolbar.dll
    O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 – HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 – HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 – HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 – HKLM\..\Run: [nod32kui] “C:\Programmi\Eset\nod32kui.exe” /WAITSERVICE
    O4 – HKLM\..\Run: [SunJavaUpdateSched] “C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe”
    O4 – HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
    O4 – HKLM\..\Run: [iTunesHelper] “C:\Programmi\iTunes\iTunesHelper.exe”
    O4 – HKLM\..\Run: [QuickTime Task] “C:\Programmi\QuickTime Alternative\QTTask.exe” -atboottime
    O4 – HKLM\..\Run: [SpyHunter Security Suite] C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter3.exe
    O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 – HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot – Search & Destroy\TeaTimer.exe
    O4 – Startup: FreePOPs.lnk = C:\Programmi\FreePOPs\freepopsd.exe
    O4 – Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O7 – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O8 – Extra context menu item: E&sporta in Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 – Extra button: (no name) – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
    O9 – Extra ‘Tools’ menuitem: Sun Java Console – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
    O9 – Extra button: Ricerche – {92780B25-18CC-41C8-B9BE-3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 – Extra button: (no name) – {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} – C:\Programmi\Spybot – Search & Destroy\SDHelper.dll
    O9 – Extra ‘Tools’ menuitem: Spybot – Search && Destroy Configuration – {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} – C:\Programmi\Spybot – Search & Destroy\SDHelper.dll
    O9 – Extra button: (no name) – {e2e2dd38-d088-4134-82b7-f2ba38496583} – %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 – Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 – {e2e2dd38-d088-4134-82b7-f2ba38496583} – %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O11 – Options group: [INTERNATIONAL] International*
    O16 – DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) – http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
    O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 – HKLM\System\CCS\Services\Tcpip\..\{3BD67288-9D45-4448-876F-4CDD9A1BA94D}: NameServer = 212.216.112.112
    O18 – Protocol: livecall – {828030A1-22C1-4009-854F-8E305202313F} – C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 – Protocol: msnim – {828030A1-22C1-4009-854F-8E305202313F} – C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 – Protocol: skype4com – {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} – C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O20 – Winlogon Notify: igfxcui – C:\WINDOWS\SYSTEM32\igfxdev.dll
    O20 – Winlogon Notify: WgaLogon – C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 – SSODL: WPDShServiceObj – {AAA288BA-9A4C-45B0-95D7-94D524869DB5} – C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 – Service: Ad-Aware 2007 Service (aawservice) – Lavasoft AB – C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 – Service: Apple Mobile Device – Apple, Inc. – C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 – Service: AVG Anti-Spyware Guard – GRISOFT s.r.o. – C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 – Service: Servizio iPod (iPod Service) – Apple Inc. – C:\Programmi\iPod\bin\iPodService.exe
    O23 – Service: Office Source Engine (ose) – Unknown owner – C:\Programmi\File comuni\Microsoft Shared\Source Engine\OSE.EXE (file missing)
    O23 – Service: Servizio di condivisione in rete Windows Media Player (WMPNetworkSvc) – Unknown owner – C:\Programmi\Windows Media Player\WMPNetwk.exe (file missing)

  22. ehi ragazzi ho 1grosso problema!! sono circa 3giorni ke ho questo scandalo di virus sul pc ma da ieri non si apre + all’avvio del pc la scansione del falso antivirus.
    ho seguito le istruzioni del sito ma quando accedo alla console DOS e inserisco i comandi “regsvr32 /u shlwapi.dll” e “regsvr32 /u wininet.dll” mi compare il messaggio secondo cui “[…] è stato caricato ma il punto di registro DLLUNREGISTERSERVER non è stato trovato. questo file non può essere registrato”.

    uscendo dalla schermata dei comandi e aprendo task manager non vi è traccia tra i processi di xpantivirus. exe e xpantivirusupdate.exe! sono allora andato a caccia dei files nella cartella system32 di windows ed ho trovato solo shlwapi.dll e wininet.dll ma provando ad eliminare mi dice ke l’accesso al file è negato perchè potrebbero essere in uso da 1altro programma! ke faccio?! help me, thanks -.-!!!

  23. Ragazzi ero andato mezzoretta in cantina col PC acceso che scaricava qualcosa, poi son tornato e mi son trovato sto schifo di malware che bloccava quasi tutto, ero disperato, ma fortuna che navigando col portatile ho trovato un sito che consigliava un buon spyware: superantispyware.com
    ha tolto tutto tranne lo sfondo corrotto col messaggio fake, ma l’ho ripristinato con un altro ora sembra funzionare tutto (avevo un altro antispy ma non levava nulla, questo ha pulito anche in versione free)

  24. grazie dell aiuto! tra questo sito ,3 antivirus e un giorno di ricerca di soluzioni ho estirpato la bestia e rimesso le mie montagne di sfondo.E’ bello sapere di non essere l unica disperata quando succede qualcosa al computer!

  25. Ciao Rose,
    potresti per cortesia spiegare in modo più esteso come hai fatto. Lo sfondo malefico mi rimane ancora, in più mi escono continui avisi di messaggi di posta elettronica.. grazie

  26. Ho risolto.
    Scaricate il proggramma gratuito
    http://www.malwarebytes.org/mbam.php
    E FATE LA SCANSIONE,
    FUNZIONA!!!
    Saluti a tutti,
    Massimo

  27. Ragazzi io dovrei aver risolto il tutto, ho usato:

    Malwarebytes’ Anti-Malware

    http://www.malwarebytes.org/mbam.php

    è tornato tutto normale.spero possa servire

    ciao

  28. skorpione57

    Ho avuto anche io il virus Antivirus windows xp 2008 e ho dato retta a Massimo.
    Scaricate da un altro computer su una pen drive
    http://www.malwarebytes.org/mbam.php
    e avete risolto il problema

  29. Vi amo – problema antivirus xp 2008 risolto in mezzora scaricando il programmino da voi consigliato, il mio è un pc da lavoro e se si ferma o perdo i dati sono finito.
    usato programma scaricato free da http://www.malwarebytes.org/mbam.php
    grazie ancora

  30. Grazie anch’io ho risolto scaricando il programmino http://www.malwarebytes.org/mbam.php

    GRAZIE ANCORA!!! Erano 3 giorni, stavo uscendo
    matta…Ciao

  31. Io mi sono beccato Antivirus XP 2008 3 giorni fa. Ho provato con malware-bytes ma dopo 8 minuti e mezzo mi è comparsa una schermata blu con delle scritte relative ad un errore critico del sistema e da li inizia un ciclo di tentati caricamenti di windows (cioè compare la schermata di caricamento di winwows e dopo un po’ di nuovo quella blu di prima e via così finchè non spengo il pc)
    Avete qualche oluzione??

  32. Risolto tutto con malware-bytes! Grazie del link!

  33. Virus merdaiolo - Videogiochi Forum su Multiplayer.it - pingback on 04/09/2008 at 2:55 pm
  34. ma allora funziona sto malwarebytes, o Roberta Skorpione Matteo e andrea sono dei maledetti trolls?

  35. salve io ho dei grandissimi problemi con questo malware… infatti il virus sembra come se si fosse evoluto e nella task manager non si trovano i due processi indicati… senza contare che nel prompt script non mi fà inserire i due codici elencati…

    inoltre non posso scaricare il programma perchè cliccando sul link mi dà la schermata di impossibile visualizzazione della pagina…
    che devo fare?

    grazie in anticipo
    ciao

  36. ho provato…. FUNZIONAAAAA!!!!!!!!

    GRAZIE RAGA!

  37. io sono riuscito ad evitare l’installazione di XP antivirus 2008,però nel pannello di controllo è comparsa la sua icona.Ho cercato in tutti i modi di nasconderla o tolgierla ma non riesco a capire qual’ è il suo nome con l’estensione *.cpl.Cosa posso fare???GRAZIE

  38. XP antivirus 2008 - Pagina 2 | hilpers - pingback on 18/01/2009 at 2:52 pm
  39. ho levato tutto,solo che continua a darmi problemi ad esempio mi connette ad internet ma non apre le pagine dicendo impossibile connettersi nonostante la connessione appaglia attiva,continuo a fare scansioni con malwarebytes e norton antivirus ma non potendomi collegare ad int non me li aggiorna e non trova altri virus……………………????????????aiutoooooooooooooo